Komunikacja kluczem do skutecznego zarządzania ryzykiem Jakub Syta, CISA, CISSP Warszawa, 6 lipca 2010 1 Zarządzanie ryzykiem IT Zarządzanie tożsamością Bezpieczeństwo informacji Ciągłość działania Przeciwdziałanie wyciekom informacji Ochrona fizyczna Ochrona baz danych Przeciwdziałanie defraudacjom Audyty Zarządzanie incydentami 2 1
Rodzaje ryzyka TheRiskIT Framework, ISACA 2009 3 Zarządzanie ryzykiem IT TheRiskIT Framework, ISACA 2009 4 2
Typowe problemy działów bezpieczeństwa Braki kadrowe w działach bezpieczeństwa Brak pieniędzy na bezpieczeństwo Zła współpraca z pracownikami działów biznesowych Brak zrozumienia dla zagadnień bezpieczeństwa i tym samym inne priorytety działów biznesowych 5 Rozwiązanie zmiana zachowań pracowników ISACA, Security Awareness Best Practices to Secure Your Enterprise, 2005 6 3
Dlaczego? Pracownicy na co dzień korzystająz rozwiązań dostarczanych przez IT Znają całe procesy więc widzą IT w szerszym kontekście Są wszędzie, gdzie przetwarzane są informacje Często są naprawdę chętni do pomocy 7 Cel strategiczny Zapewnić by wszyscy pracownicy, na co dzień: przestrzegali zasad bezpieczeństwa rozumieli je aktywnie uczestniczyli w minimalizacji ryzyk IT 8 4
Jak to osiągnąć? Komunikacja (i idące za nią czyny) Rola komunikacji Zawartość Powiedz zapomnę Stała obecność Pokaż zapamiętam Różnorodność form Rzeczywiste przykłady Zaangażuj-zrozumiem Kultura organizacyjna Kultura sprawiedliwości Nauka na błędach 9 Rola komunikacji: Komunikacja Dostarczać pracownikom wiedzyz zakresu zarządzania ryzykiem IT: Co? Jak? Dlaczego? przedstawianej biznesowym językiem 10 5
Zawartość TheRiskIT Framework, ISACA 2009 11 Akcje uświadamiające Stała obecność Umiejscowienie zasad bezpieczeństwa w procedurach operacyjnych Łatwy dostęp do niezbędnej dokumentacji Testy bezpieczeństwa Reagowanie na zgłaszane incydenty 12 6
Różnorodność form Krótkie e-maile Intranet Gazetka zakładowa Plakaty Filmy Szkolenia Keep I t Straight & Simple Podstawowa zasada: krótko i kolorowo 13 Realne scenariusze ryzyka TheRiskIT Framework, ISACA 2009 14 7
Kultura organizacyjna TheRiskIT Framework, ISACA 2009 15 Kultura sprawiedliwości Prof. James Reason zauważył, że ludzkie błędy są w znacznej mierze konsekwencją a nie przyczyną. Czynniki organizacyjne kształtują zachowania pracowników i dlatego głównym celem analizy incydentów powinno być zrozumienie kompletnego kontekstu błędu, nie tylko skoncentrowanie się na szukaniu winnych Kultura sprawiedliwości polega na dogłębnej analizie incydentówbez koncentrowania się na konkretnym pracowniku oraz wyciąganiu konsekwencji wyłącznie w stosunku do osób, które celowo zachowały się niewłaściwie oraz tych, których zachowanie cechowało się wyjątkową bezmyślnością. Reason J. Human Error, 1990 16 8
Nauka na błędach Nauka dotyczy widzenia porażek jako części systemu Nauka powinna prowadzić do zabezpieczeń, które zapewnią, że wyeliminowane zostaną czynniki generujące błędy, tak by nie powtórzyły się one w przyszłości Nauka powinna skutkować zwiększeniem przepływu informacji dotyczącej bezpieczeństwa Nauka polega na ciągłym doskonaleniu Reason J. Human Error, 1990 17 Zalety Mniejsze opory podczas przeprowadzanych weryfikacji: Samoocena Audyt wewnętrzny Audyt zewnętrzny Testy (ciągłości działania, penetracyjne, czystego biurka ) Szybsza identyfikacja potencjalnie niebezpiecznych miejsc (proaktywność) Sprawniejsze zarządzanie incydentami 18 9
Kontakt: e-mail: jsyta@immusec.com IMMUSEC Sp. z o.o. Knowledge Village ul. Wiertnicza 141 02-952 Warszawa-Wilanów Tel. +48 22 3797470 Fax. +48 22 3797479 email: biuro@immusec.com 19 10